穴ぼこだらけのEthernet 2006/03/02 Security Now ! EPISODE #29から
1. あらすじ
Ethernet技術のセキュリティ問題がテーマです。空港などのワイヤレス・ホットスポット、ホテルのLAN、ARP型マルウェア等、危険と隣り合わせのビジネスマン。どうすればよいのでしょうか?
2. 訳の抜粋
STEVE: インターネットがどういうふうに出来ているか、以前この番組でお話ししました。階層構造になっているIPアドレス空間のことやEthernetがもう少し良かったならユニークIPアドレスをみんなが持てるので、スプーフィングなどの問題は起こらなかったのにってね。
LEO: IPアドレスの代わりにMACアドレス使えばっていいとおっしゃるのですか?
STEVE: 視聴者の一人がそんなことを言っていましたね。
LEO: いいですね。その考え。
STEVE: MACアドレスはユニークだって判ってるからね。48ビットのうちの24ビットは製造企業に割り当てられていて、残りの24ビットはシリアル番号になっているからアドレスとしてつかってもダブらない。彼はそう提案しましたね。じゃ、何故利用しないのでしょう? 階層化したIPアドレスに依存してしまっているのが原因です。例えば68.x.x.xのIPアドレスなら68は行き先のことで世界中のルータは、ネットワーク68へパケットを向かわせることになっています。郵便システムに似ていますね。州、町、通り、番地。これも階層化されたシステムの1つですから。
ネットワークに接続するコンピュータのEthernetカードの番号でユニーク。ジャンク品が出回っているので、世界で唯一無二ではないらしい。(私のコメント)
MACアドレスっていうのは、ランダムな48ビットの番号であるNICのこと。もし私たちのグローバルネットワークが1つのWANであったなら、どこのネットワークかなんていう階層的な考えは必要ないんです。WANを形成させるというのがIPアドレスの階層的ふるまいなのです。そういう訳で、Ethernet LANのことを"平坦なアドレス空間"と呼んでいます。48ビットの箇体がLAN上に存在し、全てのLANが1つの巨大ネットワークなら場所なんてのは不要。だって、全てのネットワークカードがパケットに聞き耳を立てて、そのうちのアドレスが一致している1箇体が応答すれば良い訳ですから。
LEO: ところが、あまりに非不効率でそうは問屋がおろさない?
STEVE: そうなんです。それにしてしまうってことは、全世界の全てのルータがEthernetアダプタの完璧な住所録を持つ必要に迫られます。
LEO: ダメだ。こりゃ。
STEVE: ダメですね。
LEO: 規模的にもダメですね。
STEVE: その通り。彼が指摘したのは48ビットのMACアドレスは32ビットからなるIPアドレスより大きな数である。そして、我々は既にそれを備えている。32ビットのIPアドレス空間ってのは明らかに不足している。なんとかならないか? そういう点では事実に基づいた、いい考えではある。しかし、インターネットのアドレスってのは階層化されていて、それがアドレスになっていて、この簡単な事実からインターネットは成り立っているのです。
LEO: 変えないほうが良さそうね。
STEVE: ええ、変えてはいけない。それはルータ。送り出す方向を示すIPアドレスの1バイト目は256の方向しかないのに、実際にはもっと沢山ある。経路では無いのもあるけど。例えば、10.x.x.xがプライベートなアドレスだとしたら、ルータは10で始まるパケットを受け取っても受け付けないで、ネットワークに放り出す。
LEO: はい。
STEVE: 階層的アドレス法の素晴らしさとはバケットを送り出す場所を知らしめることにあるんです。MACアドレスはLAN上ではユニークなんだけど、送り出す方向を持っていないただの48ビットの数の意味でしかない。
LEO: 階層パワー.
STEVE: 実にうまい概念
LEO: 郵便番号みたいですね。勝手なことはしないでと以前言ったことがあるけど、郵便番号は個人が好き勝手にするものではありません。
STEVE: 郵便番号は良い例えですね。国民背番号はユニークだけど、それで郵便をだしてもねーーー。
LEO: 背番号別の住所録を持とうなんてことをしたらダメでしょう。
STEVE: ダメですね。 EthernetやEthernet技術の何が凄いかっていったら多分、IPアドレスのもつ正しい方向でしょう。最初、1972年にRobert Metcalfeによって設計された。彼は今どこかな?
LEO: SRIかBBNだった?
STEVE: 否、Xerox PARC@the Palo Alto
LEO: へぇ
STEVE: で、ゼロックスは地域ネットワーク型コンピュータよる実験していた。10万ドルのコンピュータ費用が返ってきて、チップや部品を全て手作業で繋いで組み立てた。本当に高価なマシンであった。彼の考えていた概念というのは、当時を振り返ると聡明で、1本の通信回線に全てのコンピュータを接続して、それでもって1対1のやり取りをするというものだったのです。同軸ケーブルによる初期のEthernetを覚えてます。
LEO: テレビのケーブル
STEVE: そう
LEO: チョット太いんだけど・・・。
STEVE: ケーブルモデムだって同軸と同じ類のもの。"transmission line behavior"と呼ばれていて1本の同軸線の両端に抵抗をおいて終端となるものを彼は必要としていた。そのLAN上に全部のコンピュータがアダプタのように置かれるようにすることもね。それがカード型の電話線みないになって繋が様になるんだけど。
LEO: 直ぐ壊れちゃうしね。コンピュータから外したら壊れるから、繋ぎっぱなしにして置きたかったなぁ。
STEVE: そうだったね。壊れるとお互い通信ができなくなっちゃうし。今なら他にもいくつかのLAN技術があって、IBMのトークンリングはまさにトークンだね。トークンがあれば通信の許可が得られデータが送れる。Bobのは別のアプローチで思いついたやり方だったけど、原理は単純だった。単純なものが結局は勝利する。ダメなものもあった。
LEO: それって、Occam's Razor
STEVE: うん。やがて、Bobのアプローチは、衝突を検知することで多重アクセスを検出すること、つまりCSMA/CDだったんだ。考え方は、こう。
この続きは次回。
|
|
